Informationssäkerhetspolicy

Antagen den 12 maj 2016

WERLABS AB (nedan ”Bolaget”), 556860-8649, Hälsingegatan 40, 113 43 Stockholm, har upprättat denna informationsäkerhetspolicy (”Policyn”) för att informera sina kunder om hur Bolaget vidtar lämpliga tekniska och organisatoriska åtgärder för att uppnå kraven i Personuppgiftslag (1998:204) 31 §.

1. Bakgrund

1.1 Bolaget anser att god informationssäkerhet är en investering och en försäkring för verksamhetens fortlevnad. Genom att utgå från verksamhetens behov av skyddsnivå kan informationssäkerhetsarbetet ständigt förbättras.

1.2 Utgångspunkten för Bolagets informationssäkerhetsarbete är att verksamhetens behov av säkerhetsskydd för troliga och oönskade framtida händelser. Bolagets informationssäkerhet utgör på så sätt en del av Bolagets totala riskhantering.

2. Syfte

2.1 Syftet med informationssäkerhet är att skydda Bolagets informationstillgångar från alla typer av hot, såväl externa som interna. Informationssäkerhet är grundläggande för att hantera informationsrisker på ett strukturerat och konsistent sätt. Denna Policy anger inriktning och övergripande mål för informationssäkerhetsarbetet på Bolaget.

2.2 Grundläggande för Bolagets hantering av informationssäkerheten är:

  • Sekretess – att ingen obehörig får tillgång till Bolagets information.

  • Riktighet – att våra kunder alltid får rätt information.

  • Tillgänglighet – att våra kunder har tillgång till den information som är kopplad till sin affärsrelation med oss.

3. Riktlinjer - mål och metoder för styrning samt struktur för riskbedömning

3.1 Information, data och informationssystem i alla sina former utgör några av de mest värdefulla tillgångarna i Bolaget. Samtliga medarbetare har ett ansvar att skydda dessa mot alla former av hot, såväl interna som externa, såväl avsiktliga som oavsiktliga.

3.2 Samtliga verksamhetsansvariga har ett ansvar för informationssäkerheten inom sitt ansvarsområde. Riskanalyser ska genomföras årligen inom de affärskritiska processerna. Dessa ska genomföras med den metod och de mallar som har framtagits för detta ändamål.

3.3 Resultatet av de genomförda riskanalyserna på aggregerad nivå ska presenteras för ledning och styrelse. Denna rapportering genomförs årligen under våren av Simon Lindgren.

3.4 Bolaget ska efterleva gällande lagstiftning. Säkerheten ska vara en integrerad del av Bolagets verksamhet och stödja verksamheten i att uppnå de uppsatta målen för kvalitet och effektivitet.

4. Organisation av Informationssäkerheten

4.1 Inom Bolaget har informationssäkerhetsarbetet indelats i säkerhetsområden. Dessa omfattar fysisk säkerhet, administrativ säkerhet, datasäkerhet/IT-säkerhet, personsäkerhet samt kommunikationssäkerhet.

4.2 Med fysisk säkerhet menas skydd av lokaler och medarbetare genom larm, brandvarnare och genom utbildning av samtliga medarbetare i säkerhetsfrågor.

4.3 Med administrativ säkerhet menas det övergripande informationssäkerhetsarbetet genom policy, kontinuitetsplaner, incidentdatabas, övergripande anvisningar och regelverk.

4.4 Med datasäkerhet/IT-säkerhet menas skydd av de servrar och lagringsmedia där all information lagras samt skydd av data och kommunikation genom e-post, på Bolagets intranät med mera.

4.5 Med kommunikationssäkerhet menas skydd av de medier som används för att kommunicera med omvärlden, exempelvis fax, telefoni och e-post.

5. Rapportering och Uppföljning

5.1 Ledning och styrelse har det övergripande ansvaret för informationssäkerhetsarbetet. Simon Lindgren (Informationssäkerhetsansvarig Werlabs) har fått ledningens ansvar att vidta nödvändiga åtgärder så att säkerhetsarbetet har en acceptabel nivå med hänsyn till kostnaderna för att implementera dessa och de konsekvenser som en inträffad incident kan orsaka Bolaget.

5.2 Uppföljning av informationssäkerhetsarbetet sker genom att samtliga säkerhetsincidenter registreras och kostnadssätts i avsett system. Uppföljning av skyddsåtgärder, gjorda med utgångspunkt från genomförda riskanalyser, ska ske kontinuerligt.

5.3 Kontinuitetsplanen antas årligen av ledningen. Den reglerar och definierar de kritiska verksamhetsprocesser som ska fungera vid allvarliga incidenter.

5.4 Ledningen ska årligen följa upp genomförda riskanalyser. Rapportering görs av Simon Lindgren till ledningen.

6. Tillhörande Dokument

Till stöd för informationssäkerhetsarbetet finns rutiner för hantering av säkerhetssystem, säkerhetsregler för säker arbetsplats och inpasseringsrutiner.

7. Ansvar

7.1 Policyn fastställs av Bolagets styrelse. Simon Lindgren ansvarar för att säkerhetspolicyn och tillhörande dokument uppdateras och sedan kommuniceras till samtliga medarbetare.

7.2 Simon Lindgren övervakar även policyns efterlevnad och att samtliga medarbetare får lämplig utbildning så att en ökad medvetenhet om informationssäkerhetsfrågornas relevans för Bolaget. Samtliga medarbetare har ett ansvar att följa Bolagets säkerhetsregelverk.

7.3 Avsiktliga eller oavsiktliga avsteg från denna policy kommer att utredas. En sådan utredning kan medföra att användarnas privata information kan komma att omfattas av en utredning om detta krävs av lagstiftning eller av andra myndigheter.